第七章 软件限制安全.ppt

第七章 软件限制安全 本章描述:计算机的环境配置包括硬件配置和软件配置，目前90%以上的用户常见故障是由软件故障引起的，故对用户使用软件的一些限制就尤为重要。本项目主要通过设置软件限制策略来限制应用程序的使用，从而保证系统的安全。 7.1 软件限制安全标准 本章通过介绍软件限制策略，结合四个限制规则进行了相应的软件限制，相应的标准有： 1、会启用软件限制策略。 2、会创建针对某一软件的限制策略。 7.2软件限制策略概述 在系统安全方面，有人曾说，如果把 HIPS （Host-based Intrusion Prevention System ，基于主机的入侵防御系统）用的很好，就可以告别杀毒软件了。其实，在Windows中，如果能将组策略中的“软件限制策略”使用的很好，再结合NTFS权限和注册表权限限制，依然可以很淡定的告别杀毒软件。 另一方面，由于组策略是原生于系统之上的，可能在底层与操作系统无缝结合，于是不会产生各种兼容性问题或者产生 CPU 占用过高、内存消耗太大等问题。从这一点来看，组策略中的“软件限制策略”才算是最好的系统管理利器。 7.2.1部署软件限制策略 软件限制策略的功能描述：软件限制策略，目的是通过标识或指定应用程序，实现控制应用程序运行的功能，使得计算机环境免受不可信任的代码的侵扰。通过制定散列规则、证书规则、路径规则和网络区域规则，则可使得程序可以在策略中得到标识，其中，路径规则在配置和应用中显得更加灵活。在默认情况下，软件可以运行在“不受限”与“不允许”这两个级别上。 建议将软件限制策略应用于下列文件： 除 DLL 以外的所有软件文件。 将软件限制策略应用于下列用户： 除本地管理员以外的所有用户。 7.2.2启用限制策略 在默认情况下，组策略中的“软件限制策略”是处在关闭状态的。通过以下步骤我们来启用它： ● 打开组策略编辑器：gpedit.msc ● 将树目录定位至：计算机配置 - Windows 设置 - 安全设置 - 软件限制策略 ● 在“软件限制策略”上点击右键，点选“创建软件限制策略”创建成功之后，组策略编辑窗口中会显示相关配置条目。 7.2.3设置安全级别 在默认情况下，系统默认为我们提供了三个安全级别：“不允许”、“基本用户”以及“不受限”。 不允许：不允许软件运行。 受限：无论用户的访问权如何，软件都无法访问某些资源，如加密密钥和凭据。 比基本用户限制更多，但也享有“跳过遍历检查”的特权。 不信任：允许程序访问只对众所周知的组授权的资源，不允许访问管理员特权和个人授予的权利。 不允许对系统资源、用户资源进行访问，直接的结果就是程序将无法运行。 7.3 配置软件限制策略 使用软件限制策略，通过标识并指定允许哪些应用程序运行，可以保护您的计算机环境免受不可信任的代码的侵扰。通过散列规则、证书规则、路径规则和Internet区域规则，应用程序可以在策略中得到标识。默认情况下，软件可以运行在两个级别上：“不受限制的”与“不允许的”。目前主要用到的是路径规则和散列规则，而路径规则则是这些规则中使用最为灵活的。 7.3.1 基本软件限制策略 下列表中的文件类型包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC ，所以对于正常的非可执行的文件，例如TXT JPG GIF这些是不受影响的，如果你认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者你认为哪些扩展无威胁，也可以将其删除。 7.3.2 哈希规则安全策略 散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。 例如，可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。 1. 单击开始，单击运行，键入 mmc，然后单击确定。 2. 打开软件限制策略。 3. 在控制台树或详细信息窗格中，右键单击其他规则，然后单击新建哈希规则。 4. 单击浏览找到文件，或者将预先计算好的哈希值粘贴到文件哈希框中。 5. 在安全级别框中，单击不允许或无限制。 6. 在描述框中，键入对此规则的说明，然后单击确定。 7.3.3证书规则安全策略 软件限制策略